翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

一元管理ターゲットと自己管理ターゲット

中央設定を有効にすると、委任 AWS Security Hub 管理者は各組織アカウント、組織単位 (OU)、ルートを一元管理型または自己管理型として指定できます。ターゲットの管理タイプによって、Security Hub の設定を指定する方法が決まります。

中央設定の利点とその仕組みについては、「Security Hub の中央設定について」を参照してください。

このセクションでは、一元管理型とセルフマネージド型の指定の違いと、アカウント、OU、またはルートの管理タイプを選択する方法について説明します。

委任管理者は、ターゲットのステータスをセルフマネージド型と一元管理型の間で切り替えることができます。デフォルトでは、Security Hub を介して中央設定を開始すると、すべてのアカウントと OU が自己管理されますAPI。コンソールでは、管理タイプは最初の設定ポリシーによって異なります。最初のポリシーOUsに関連付けるアカウントと は一元管理されます。他のアカウントと OUsは、デフォルトでセルフマネージド型です。

設定ポリシーを以前のセルフマネージドアカウントに関連付けると、ポリシー設定はセルフマネージド指定を上書きします。アカウントは一元管理され、設定ポリシーに反映された設定を採用します。

一元管理型アカウントをセルフマネージド型アカウントに変更した場合、設定ポリシーを通じてアカウントに適用された設定はそのまま残ります。例えば、一元管理型アカウントは、最初は Security Hub を有効にし、 AWS Foundational Security Best Practices v1.0.0 を有効にし、無効にしたポリシーに関連付けることができます CloudTrail。1 その後、アカウントをセルフマネージド型として指定すると、すべての設定は変更されません。ただし、アカウント所有者は、今後アカウントの設定を個別に変更できます。

子アカウントと OUsは、子アカウントと が一元管理された親から設定ポリシーを継承するのと同じ方法で、セルフマネージド型の親からセルフマネージド型の動作を継承OUsできます。詳細については、「アプリケーションと継承によるポリシーの関連付け」を参照してください。

セルフマネージドアカウントまたは OU は、親ノードまたはルートから設定ポリシーを継承できません。たとえば、組織OUs内のすべてのアカウントと でルートから設定ポリシーを継承する場合は、セルフマネージドノードの管理タイプを一元管理型に変更する必要があります。

セルフマネージドアカウントで設定を行うオプション

セルフマネージド型アカウントは、リージョンごとに独自の設定を行う必要があります。

セルフマネージドアカウントの所有者は、各リージョンAPIで Security Hub の次のオペレーションを呼び出して、設定を行うことができます。

セルフマネージドアカウントは、 *Invitations および *Members オペレーションを使用することもできます。ただし、セルフマネージド型アカウントではこれらのオペレーションを使用しないことをお勧めします。メンバーアカウントに、委任管理者とは異なる組織に属する独自のメンバーがある場合、ポリシーの関連付けが失敗する可能性があります。

Security Hub APIアクションの詳細については、「 AWS Security Hub APIリファレンス」を参照してください。

セルフマネージド型アカウントは、Security Hub コンソールまたは を使用して AWS CLI 、各リージョンで設定を構成することもできます。

セルフマネージドアカウントは、Security Hub 設定ポリシーとポリシーの関連付けAPIsに関連する を呼び出すことはできません。委任された管理者のみが中央設定を呼び出しAPIs、設定ポリシーを使用して一元管理されたアカウントを設定できます。

ターゲットの管理タイプの選択

ご希望の方法を選択し、手順に従って、 AWS Security Hubでアカウントまたは OU を一元管理型またはセルフマネージド型に指定します。

Security Hub console

アカウントまたは OU の管理タイプを選択するには

1. で AWS Security Hub コンソールを開きますhttps://console.aws.amazon.com/securityhub/。

   ホームリージョンの委任 Security Hub 管理者アカウントの認証情報を使用してサインインします。

2. [設定] を選択します。

3. [組織] タブで、ターゲットアカウントまたは OU を選択します。[編集] を選択します。

4. 委任された管理者がターゲットアカウントまたは OU の設定を行う場合は、[設定を定義] ページの [管理タイプ] で、[一元管理] を選択します。次に、既存の設定ポリシーをターゲットと関連付ける場合は、[特定のポリシーを適用] を選択します。ターゲットに最も近い親の設定を継承させる場合は、[自分の組織から継承] を選択します。アカウントまたは OU で独自の設定を行う場合は、[セルフマネージド] を選択します。

5. [Next (次へ)] を選択します。変更内容を見直して、[保存] を選択します。

Security Hub API

アカウントまたは OU の管理タイプを選択するには

1. を呼び出す StartConfigurationPolicyAssociation API ホームリージョンの Security Hub 委任管理者アカウントから。

2. アカウントまたは OU で独自の設定を制御する場合は、ConfigurationPolicyIdentifier フィールドに SELF_MANAGED_SECURITY_HUB と入力します。委任管理者がアカウントまたは OU の設定を制御する場合は、関連する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。

3. Target フィールドに、管理タイプを変更するターゲットの ID AWS アカウント 、OU ID、またはルート ID を指定します。これにより、セルフマネージド型の動作または指定した設定ポリシーがターゲットに関連付けられます。ターゲットの子アカウントは、セルフマネージド型の動作または設定ポリシーを継承できます。

セルフマネージドアカウントを指定するAPIリクエストの例：

{
    "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
    "Target": {"AccountId": "123456789012"}
}
                

AWS CLI

アカウントまたは OU の管理タイプを選択するには

1. を実行します。start-configuration-policy-association ホームリージョンの Security Hub 委任管理者アカウントからの コマンド。

2. アカウントまたは OU で独自の設定を制御するには、configuration-policy-identifier フィールドに SELF_MANAGED_SECURITY_HUB と指定します。委任管理者がアカウントまたは OU の設定を制御する場合は、関連する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。

3. target フィールドに、管理タイプを変更するターゲットの ID AWS アカウント 、OU ID、またはルート ID を指定します。これにより、セルフマネージド型の動作または指定した設定ポリシーがターゲットに関連付けられます。ターゲットの子アカウントは、セルフマネージド型の動作または設定ポリシーを継承できます。

セルフマネージド型アカウントを指定するコマンドの例:

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'